PRC-SI-008 — Resposta a Incidente com Dados Pessoais
Gatilho: Qualquer incidente de SI que envolva dados pessoais de clientes, colaboradores ou terceiros Prazo crítico: Avaliação de impacto em até 24h; notificação à ANPD em prazo razoável (referência: 72h) Frequência: Por evento
Este processo é acionado a partir do PRC-SI-004 - Gestão de Incidentes de Segurança quando o incidente envolve dados pessoais. Os dois processos correm em paralelo.
Objetivo
Garantir resposta adequada a incidentes com dados pessoais, cumprindo as obrigações da LGPD (notificação à ANPD e aos titulares), minimizando o impacto e documentando as ações para fins de responsabilidade.
Tipos de Incidente com Dados Pessoais
| Tipo | Exemplos |
|---|---|
| Vazamento | Envio de e-mail com dados de clientes para destinatário errado; arquivo publicado indevidamente |
| Acesso não autorizado | Credencial comprometida dá acesso a base de dados de clientes |
| Perda de dados | Dispositivo com dados de clientes extraviado ou roubado |
| Alteração indevida | Dados de clientes alterados sem autorização |
| Indisponibilidade | Ransomware que criptografa dados pessoais |
Fluxo
Critérios para Notificação à ANPD
Notificar quando o incidente possa acarretar:
- Dano relevante aos titulares (financeiro, moral, discriminação)
- Risco à segurança dos titulares
- Grande escala (muitos titulares afetados)
- Dados sensíveis envolvidos (saúde, biometria, etc.)
Conteúdo Mínimo da Notificação à ANPD
| Campo | Conteúdo |
|---|---|
| Identificação do controlador | Fortes Sertão Central — CNPJ |
| Data e hora da ciência do incidente | — |
| Descrição do incidente | O que ocorreu, como, onde |
| Dados pessoais afetados | Categorias e quantidade estimada de titulares |
| Titulares afetados | Perfis (clientes, colaboradores, etc.) |
| Medidas de contenção adotadas | O que já foi feito |
| Medidas preventivas futuras | O que será implementado |
| DPO ou contato responsável | Nome e e-mail |
Papel da Fortes Sertão Central como Operadora
Quando os dados afetados pertencem a clientes escritórios contábeis (Fortes Sertão Central atua como operadora):
- Notificar o controlador (cliente) imediatamente
- O controlador é responsável pela notificação à ANPD e aos titulares finais
- Fortes Sertão Central suporta com informações e evidências do incidente
Referências Normativas
| Obrigação | Fonte |
|---|---|
| Notificação à ANPD em prazo razoável | LGPD Lei 13.709/18 Art. 48 |
| Medidas de segurança técnicas e gerenciais para dados pessoais | PSI - Política de Segurança da Informação Art. 61 |
| Comunicação e documentação de incidentes | PSI Art. 54 |
| Plano de Resposta a Incidentes | PSI Art. 56 |
| Direitos dos titulares (acesso, correção, exclusão) | Regulamento Interno Cap. 8.5 |
| Penalidades por uso inadequado de dados pessoais | RI Cap. 8.6 |